IPSec VPN

已于 2024-09-27 02:05:26 修改
阅读量1.5k 收藏 26
点赞数 18
分类专栏: eNSP 网络安全 IPsec VPN 文章标签: 网络 网络安全
于 2024-09-27 02:01:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46719506/article/details/142581360
版权

IPsec VPN是一种基于IPsec(Internet Protocol Security)协议来实现远程接入或站点到站点连接的虚拟专用网络(Virtual Private Network, VPN)技术。IPsec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的一套为IP网络提供安全性的协议和服务的集合。

一、定义与功能

  • 定义:IPsec VPN采用IPsec协议来实现两个或多个网络之间的安全通信。它通过加密和封装技术,在公共网络上为私有网络之间建立安全的通信隧道,确保数据传输的机密性、完整性和认证性。
  • 功能:IPsec VPN提供了强大的安全保护机制,包括加密、认证和数据防篡改功能。它能够确保传输的数据在不被未授权用户窃取或篡改的同时,验证通信双方的身份,防止中间人攻击等安全威胁。

二、工作原理

  • 隧道技术:IPsec VPN的核心是隧道技术,通过封装技术将IP数据包封装在IPsec协议头中,形成一个新的IP数据包进行传输。这个新的IP数据包在公共网络上传输时,其内部的数据内容是被加密的,只有拥有正确密钥的接收方才能解密并读取原始数据。
  • 加密与认证:IPsec协议使用一系列的加密算法和认证算法来保证数据传输的安全性。加密算法用于对数据进行加密,确保数据的机密性;认证算法用于验证通信双方的身份和数据的完整性,防止数据被篡改或伪造。

三、优势与特点

  • 安全性高:IPsec VPN采用强大的加密和认证机制,确保数据传输的安全性。
  • 灵活性好:IPsec VPN支持多种网络拓扑结构,如点对点、星型等,满足不同场景下的需求。
  • 扩展性强:IPsec VPN可以轻松地扩展到更多的用户和设备,支持大规模的网络部署。
  • 成本效益高:相比传统的专线连接方式,IPsec VPN可以显著降低通信成本,提高网络资源的利用率。

以下是一个简单的IPsec VPN配置实验步骤:

四、实验操作

步骤一:

1.开启eNSP,新建拓扑文件,在工作区添加两台路由器(AR2220)和两台PC,按下图连接路由器、PC,开启设备。并按照下表进行IP地址的配置。

表1  IP地址的配置

设备

接口

IP地址

地址掩码

默认网关

R1

GE0/0/1

192.168.1.254

255.255.255.0

-

GE0/0/0

10.0.1.1

255.255.255.0

-

R2

GE0/0/0

10.0.1.2

255.255.255.0

-

GE0/0/1

192.168.2.254

255.255.255.0

-

PC1

Eth0/0/1

192.168.1.1

255.255.255.0

192.168.1.254

PC2

Eth0/0/1

192.168.2.1

255.255.255.0

192.168.2.254

步骤二:

2.使用RIP协议使全网互通,并在PC1上ping PC2,并截图如下。

步骤三:

3.启用IKE;创建IKE策略集policy,加密算法用AES,Hash函数用md5,D-H选group1,认证方式选提前共享;配置IKE身份认证的相关参数,密码用aa123;并用show crypto isakmp policy 验证IKE配置,将配置指令和验证结果截图如下。

//R1配置IKE策略

[R1]ike proposal 1

[R1-ike-proposal-1]encryption-algorithm aes-cbc-256

[R1-ike-proposal-1]authentication-algorithm md5

[R1-ike-proposal-1]authentication-method pre-share

[R1-ike-proposal-1]dh group1

[R1-ike-proposal-1]q

[R1]ike peer 10.0.1.2 v1

[R1-ike-peer-10.0.1.2]pre-shared-key cipher aa123

[R1-ike-peer-10.0.1.2]ike-proposal 1

[R1-ike-peer-10.0.1.2]remote-address 10.0.1.2

//R2配置IKE策略

[R2]ike proposal 1

[R2-ike-proposal-1]encryption-algorithm aes-cbc-256

[R2-ike-proposal-1]authentication-algorithm md5

[R2-ike-proposal-1]authentication-method pre-share

[R2-ike-proposal-1]dh group1

[R2-ike-proposal-1]q

[R2]ike  peer 10.0.1.1 v1

[R2-ike-peer-10.0.1.1]pre

[R2-ike-peer-10.0.1.1]pre-shared-key cipher aa123

[R2-ike-peer-10.0.1.1]ike-pr  

[R2-ike-peer-10.0.1.1]ike-proposal 1

[R2-ike-peer-10.0.1.1]re 

[R2-ike-peer-10.0.1.1]remote-address 10.0.1.1

(1) R1配置IKE策略,并进行验证,如下图所示。

a.配置命令

b.验证

(2) R2配置IKE策略,并进行验证,如下图所示。

a.配置命令

b.验证

步骤四:

4.配置IPSec变换集,选用esp-md5-hmac,模式为隧道模式;用ACL定义需要IPSec保护的流量;创建map、把map 应用到路由器的端口上,使用“dis ipsec sa policy map”验证结果,并将配置指令和验证结果截图如下。

(1)R1、R2配置ACL以及配置IPSec安全提议,如下图所示。

(2)在R1、R2配置IPSec安全策略以及在接口应用IPsec安全策略,如下图所示。

(3)在R1上验证

(4)在R2上验证

(5)在PC1上验证

安全防御------IPSec VPN
m0_63292411的博客
08-08 2315
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
IPSECIPSEC VPN一篇通(面试复习)
atmxs的博客
09-23 2443
简述为IPSEC的概念后,现在看看IPSEC是怎么运用到我们的现实生活中去的。
专线与***冗余方案
weixin_34060741的博客
09-15 493
目的实现北京机房与上海机房之间专线和公网IPsec×××的冗余,自动切换。拓扑图实验图拓扑描述1、北京机房与上海机房通过公网配置IPsec×××2、北京机房与上海机房之间搭建一根电信专线3、路由配置与走向北京机房:采用静态路由方式配置SLA以实现路由备份选择走向ip sla monitor 1type echo protocol ipIcmpEcho 10.10.20.2ip...
IPSec协议原理及IPSec VPN技术
最新发布
📚【自学笔记】技术探索进阶之路
05-01 1555
IP报文本身不集成任何安全特性,恶意用户很容易便可伪造IP报文的地址、修改报文的内容、重放IP数据包以及在传输过程中拦截并查看数据包内容,因此,传统IP层协议不能保证收到数据包的安全,IPSec正是用来解决IP层安全性问题的技术。AH(Authentication Header)协议。
IPSEC VPN
FHY26828的博客
08-21 1473
IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性。 IPSec协议集提供如下安全服务:认证(Autentication)、保密性(Confidentiality)、应用透明安全性(Application-transparent Security)
ipsec VPN 技术介绍(基础篇一)
BUG_MeDe的博客
04-22 7119
IPsec的一些基础知识讲解
IPSec VPN配置
LCH131420的博客
12-08 1867
执行display ipsec proposal命令,验证配置结果。执行display ipsec proposal命令,验证配置结果。待OSPF收敛完成后,查看OSPF邻居以及路由表。步骤五 配置IPSec VPN提议。步骤七 在接口下应用IPSec策略。步骤四 配置ACL定义感兴趣流。步骤一 完成基本配置。步骤六 创建IPSec策略。步骤八 检测网络的连通性。步骤二 创建逻辑接口。步骤三 配置OSPF。
IPsec vpn 配置实验(一端动态地址)
m0_69435261的博客
12-30 1356
因为本篇文章,就是IPsec的实验配置的话,是有一端IP地址不固定的情况下,就需要用到野蛮模式的,第一阶段会更改模式啦,两端都需要更改对于地址固定的总部来说,需要以下注意的点:1) 动态模板 :如拓扑图中,R1是地址固定那一段,然后它想和自己的分部R3建立IPsec VPN,在不清楚R3的IP地址下,是无法用常规的办法来配置,我们就只能用template来建立2)无需设置ACL: 因为我们并不清楚分部那边有哪些私网的网段那如何去与一端地址不固定的设备建立IPsec 呢?
IPSec VPN技术分析
weixin_41943385的博客
11-29 1007
IPSec VPN技术分析
思科动态接入IPSec VPN
2203_76138235的博客
07-31 1679
RA(config)#crypto isakmp key xyh#123 address 0.0.0.0 //配置预共享密钥为 xyh#123,对方的密钥也要是一致才能匹配成功,指定邻居,0.0.0.0 0.0.0.0是任意匹配。总部使用模糊匹配方式,可以接入任意的分支。RB(config-if)#ip address negotiated //获取默认路由(可选),在获取地址的时候才能获取,当地址获取完成之后,这条命令是不生效的。问题:对等体的地址动态获取,地址是不固定的;
IPSEC---VPN
zhoutong2323的博客
03-04 6460
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
IPSec VPN详解
热门推荐
rendongxingzhe的博客
08-15 1万+
AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。分为两个阶段,第一个阶段是建立管理连接,第二个阶段是建立数据连接。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。
ipsec VPN技术(基础篇二)
BUG_MeDe的博客
06-04 3709
双方响应IKE安全提议报文,同时在自己配置的ipsec 安全规则中寻找匹配的安全规则,主要匹配:加密算法、认证算法、身份认证方法、DH组标识,需要双方具有相同的匹配,才能协商成功。其中的数据是加密的。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。该ISAKMP协商使用的主模式,IKE SA协商双方发送了6个报文,后面的IPsec SA的协商使用的快速模式。:保护一个网络中的设备的安全,通常是两台网关设备。
防火墙—IPSec VPN(NAT 穿透-双侧 NAT)
weixin_44080599的博客
06-05 4943
奇安信防火墙 IPSEC VPN 详解
防火墙—IPSec VPN(NAT 穿透-单侧 NAT)
weixin_44080599的博客
06-02 2463
奇安信防火墙 IPSEC VPN 详解
ensp实验公网一个私网两个互访实验
09-06
ensp实验是建立在eNSP网络模拟平台上进行网络实验的过程。一个“公网两个私网互访”实验可以理解为在eNSP平台上构建了一个具有公网和私网的网络环境,其中一个公网和两个私网实现互相访问的测试。 在这个实验中,我们需要创建三个虚拟网络,包括一个公网和两个私网。首先,我们需要在eNSP中创建一个公网,可以使用互联网上的可用IP地址范围。然后,在物理交换机上连接一个路由器和一个防火墙,将公网和私网通过路由器相连。在防火墙中设置相应的访问规则,允许私网到公网的出站访问,并允许公网到私网的入站访问。 接下来,我们需要在eNSP中创建两个私网。每个私网可以使用不同的子网地址范围,例如192.168.1.0/24和192.168.2.0/24。每个私网都需要连接一个路由器,并在路由器中设置相应的网络地址转换(NAT)规则,以便私网中的主机可以通过路由器访问公网。此外,还可以在私网中配置相应的应用服务,例如Web服务器和FTP服务器,以便测试公网对私网中服务的访问。 完成上述配置后,我们就可以在eNSP中测试公网和私网之间的互访情况。例如,从私网中的某一主机上Ping公网中的某一主机,或者通过公网访问私网中的某一服务器。通过分析网络数据包的传输和返回情况,可以判断网络配置是否正确,并确保公网和私网之间可以正常互访。 总之,一个“公网两个私网互访”的实验,通过在eNSP平台上创建公网和私网的网络环境,并进行相应的路由和NAT配置,可以测试公网和私网之间的互访情况,并验证网络配置的正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值